『不正アクセス、コンピュータウイルス、脆弱性対策…』などセキュリティ情報は、毎日のように更新されています。「私は大丈夫よ。」なんてことはありません。今の時代、インターネットを繋いでいない日はないほど使用されている方もいらしゃるのではないでしょうか?インターネットに繋ぐということは、ホームページなどで他の方と交流があると思います。交流があるということは、インフルエンザ(コンピュータウイルス)をもらうってこともありえる話です。
さてインフルエンザの情報は、皆さんどこから入手しますか?ニュース。新聞。などを利用されてインフルエンザの情報を入手されていると思います。
セキュリティ情報も同じようにニュースや新聞で取り上げられることはありますが、ほんの1部分が多いです。
—ではどうするか??
よくある話ですが、IPA 独立行政法人 情報処理推進機構サイトにセキュリティ情報が毎日のように更新されています。(実はイマジンラボのトップ画面からでもRSSですが確認できます)
まずは、セキュリティ情報サイトを確認してみてはいかがでしょうか?
例年、夏の暑さには強い方なのですが、今年の夏は特に暑く感じます。
年齢も影響しているのでしょうか、暑さで毎日へろへろな状態ですが、わが社のサーバーもこの暑さには大丈夫か気になります。
というのも、最近サーバー室は連日30度を超えていたからです(!)
そこで、弊社ではサーバー室の空調管理のために、以下のような工夫をしてみました。
・サーキュレーターを購入して、サーバー本体に風を当てるようにしました。サーバー室は全面壁の個室であるため、最初は部屋全体の空気の循環を考慮して、部屋の奥から入り口に向かって風を送ったのですが、たまたま「サーバー本体の吸気口に冷風を当てるとよい」という記事を読んだので、サーバー本体の正面から風を当てるように変更しました。
・ハードディスクが横に寝かした状態で設置されていたので、縦置きにして棚との設置面を少なくして放熱するようにしました。
・サーバー室全体の気温と湿度を下げるために、サーバー室のドアを終日閉めないで開けっ放しにするようにしました。
・エアコンを1台増設して、事務室とサーバー室の両方が涼しくなるようにしてもらいました。これで28度位になり、人間も快適になりました。
なお、弊社のサーバーのマニュアルを確認したところ、気温は動作時「1 時間当たり最大 10°C の温度変化で、10 ~ 35°C」、湿度は動作時「1 時間当たり最大 10 パーセントの湿度変化で 20 ~ 80 パーセント」であり、一応適応範囲内でした。
UPSについても調べたのですが、気温と放電回数によりバッテリの寿命は以下のようにかなり変わるので、気温には注意が必要です。(データは弊社のバッテリ仕様)
・5~25℃ 2.5年
・30℃ 1.7年
・35℃ 1.2年
「情報漏えい」と一口に言っても、いろいろな形での情報漏えいがあります。
よくあるのは…
・自社のホームページに機微な情報を誤って掲載してしまった
・データが入っているUSBメモリを紛失してしまった
・大事な情報が入ったExcelファイルを関係のない人へのメールに添付してしまった
見落としがちなのが、ことば(口頭)による情報漏えいです。
うっかり機微な情報を話してしまったことによる事故を、時々耳にします。
特に注意したいのが、家族や友達、同業者などの身近な人に、ついうっかりしゃべってしまうパターンです。
どこかで、誰かが、あなたの会話を見聞きしているかも知れません。
また、話した相手が、どこかでその情報を拡散しているかも知れません。
軽い気持ちでおしゃべりして、会社の大事な情報を漏えいしていないか、注意したいものです。
いよいよネット選挙が解禁になりました。
ネットで投票することではありません。ネットで選挙運動ができることです。
いままで新聞やテレビでしか得ることができなかった、候補者や政党の想いをホームページ、facebook、twitter等で知ることができます。非常に便利ですね。
情報セキュリティの観点から一番おおきな問題としてあるのは、「なりすまし」ではないでしょうか。知りたい政治家のホームページかと思ったら、フィッシングサイトだったとか、政治家からのメールやSNSかと思ったら偽サイトへのおとりだったとか。
インターネットの世界はどうしても情報量が莫大になるので、正しい情報を把握するのに時間がかかる傾向があると思います。
各政党からリンクされているサイトは問題が少ないと思いますので、気になる場合はそこからたどってみてはいかがでしょうか。
また、被害者になるだけでなく、加害者になる可能性もあります。以下の行為は禁止されていますので、良かれと思っても、やらないように気をつけましょう。
・政党や候補者以外が、メールやSMSを利用する。
・未成年を利用して拡散させる。
・など
つまり、自分が応援する候補者のメールをみんなに転送したり、未成年の自分の子供にLINE等で拡散させたりしてはいけません。
情報セキュリティの大きな課題の一つとして、悪意のない行為が脅威になってしまう事があります。よかれと思ってやっているのに、結果的に自分や周りの人、見知らぬ誰かさんにおおきな迷惑をかけてしまうのです。
信頼できるサイトをいくつか確保しておく、もしくは、信頼できる相談相手を見つけておくのがよろしいのではないでしょうか。情報セキュリティの専門家は、みんなに啓蒙したくてうずうずしている人が多いと思いますから、ぜひボランティアだと思って聞いてみてはいかがでしょうか。
すこし気をつける事ができるかどうかが、ネットライフを快適なものにできるかどうかの分かれ道です。
Symantec Endpoint Protection を利用していると、サーバーのハードディスクの容量がどんどん消費されていってしまうケースはありませんでしょうか?
これは、SEP ManagerのDB使用量がどんどんおおきくなっているために起こる現象です。
一応、手作業になりますが、DBを小さくするメンテナンスツールが出ています。
Symantecは日本語サポートが弱いので、見つけにくいのですが、このサイトからツールのダウンロードができます。
参考までに、下記にreadmeを日本語化したものを載せておきます。
—readme—
このツールを用いれば、DBファイルサイズを圧縮できます。
手順:
1.”ShrinkEmbeddedDB.bat” と ”ShrinkEmbeddedDB.jar”をdbフォルダ
“..\Symantec\Symantec Endpoint Protection Manager\Tools\” へコピーします。
2.dbファイル
サービス一覧で、”Symantec Endpoint Protection Manager”と”Symantec EmbeddedDataBase”を
停止させて、
・”..\Symantec\Symantec Endpoint Protection Manager\db\sem5.db”
・”..\Symantec\Symantec Endpoint Protection Manager\db\sem5.log”
を手動でコピーして、別フォルダへ退避しておきます。
3.ファイルマネージャーもしくは、コマンドプロンプトから、”ShrinkEmbeddedDB.bat”を
実行します。
4.ツールが成功したら、ツールのメッセージにしたがって、”sem5.db.bak”と”sem5.log.bak”を
削除します。
自動的にサービスは開始されます。
5.トランザクションログ
・”..\Symantec\Symantec Endpoint Protection Manager\db\sem5.log”
が小さくなっていることを確認
補足:
・Embedded DB(SQLanyware)の為のものです。SQL Serverでは使えません。
・SEP12.1 RU1にて検証済み。
・このツールはDBダンプを行いますが、環境設定を変更する場合は、batファイルを編集してください。
・失敗しても、開始前に手コピーしたdb,logで元にもどせます。
以上
一度だけ実行させたいバッチやコマンドってありませんか?
ありますね。
再インストールとか、ライセンス認証だとか、初期端末展開時や新しいサービス展開時はふと発生しますね。
そんなとき、バッチコマンドを作ってゴニョゴニョってゆうのはよくあるのですが、
問題は、端末によって実行させたかったり、させたくなかったり、といった場合にどうするか、って事ありませんか?
ありますね。
どうやって簡単にすますか?
グループポリシーのRunOnce機能とADを組み合わせてみてはいかがでしょうか。
(1)新規にポリシー作成する。
名前は仮に”RunOnce”ってしておきましょうか。
(2)コンピューターの構成
-基本設定
--Windowsの設定
---レジストリ
ここに新しいレジストリ項目を作成
(3)新しいレジストリのプロパティダイアログの「全般」タブにて
・アクション:更新
・ハイブ:HKEY_LOCAL_MACHINE
・キーのパス:SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
・値の名前:(任意で)
・値の種類:REG_SZ
・値のデータ:(ここに入っているコマンドが、ログイン時に実行される)
(4)「共通」タブにて
・”1度だけ適用し、再適用しない”にチェック
これ忘れると、起動時毎回実行されます。
(5)適用したい端末をADでグルーピングしてそのグループにこの”RunOnce”ポリシーを適用してあげれば、その端末だけ、起動時に1回だけ指定したコマンドが実行されます。
コマンドの中に、実行した端末名をログとして吐き出すようにしておくと、確認もできるので便利です。
このRunOnceはレジストリをいじれば実行できるので、ADの入っていない環境でも利用できます。
おやくに立てたかしら?
毎年、2月は情報セキュリティ月間です。
今年は、スマートフォン向けの利用手引きが NEW! になってました。
昨今、スマホ向けのコンテンツが増え、情報セキュリティというより、一般的に
危険な事も増えてきました。
世の保護者の方々はどのようにして子供を悪いやつから守るのか、さぞご苦労されているかと想像します。
情報という面でとらえると、”ふさわしい情報”を”ふさわしい人”が利用できるようにするのが情報コントロールということになります。その為の主となる対策として、
(1)インターネットが利用できる端末にはペアレンタルコントロールを設ける。
OSに組み込まれているもの、専用ソフト、プロバイダーが提供しているもの、ブラウザが備えているもの、ウイルスソフトに込みになっているもの、いろいろありますので、一度ご検討いただいたほうがよろしいでしょう。
下記にいろんなソフトの紹介があります。
http://www.iajapan.org/filtering/
(2)情報セキュリティに関するスキルをUPする。
お金や道徳の教育と同じで、どうすればいいのか、どうすると危険なのか、キチンとその子供達のレベルに応じて親子で一緒に学んでいくのは大事だと思います。
一方的に押し付けるだけでは、いわゆるイタチゴッコになってしまいます。それどころか、
場合によっては子供達の方が遥か先に行ってしまった、なんてことも十分普通にありえます。
いろんなコンテンツがあるので、一緒に学んでみてはいかがでしょうか。
http://www.net-anzen.go.jp/webschool/
javaの脆弱性による緊急対応が、でています。
http://www.us-cert.gov/cas/techalerts/TA13-010A.html
実際にはjava appletなので、webブラウザで利用されるjavaのアドオンだということです。
システムからjavaのアンインストールまではしなくてもよいと思います。
ブラウザからjavaのアドオンを利用しないよう設定しましょう。
IE:
・ 「ツール」―「アドオンの管理」―「アドオンの種類」を「ツールバーと拡張機能」を選んで、表示で「すべて表示」を選ぶ。
右ペインからjavaのものを選んで「無効にする」を選択
他ブラウザーも同様にアドオンからjava関連を無効か削除してあげればOKです。
いつもは、マネジメントっぽいことを書いているので、めずらしく技術的なことを。
ActiveDirectoryとグループポリシーはセキュリティコントロールの技術としては、便利に出来ていると思います。
今回は、たぶんそのまま使えるドライブレターのコントロールについて。
管理用テンプレートの「windowsコンポーネント」-「エクスプローラー」-「指定したドライブをマイコンピューター内で非表示にする」を有効にします。
選択肢は、’ABCDドライブのみ制限’とか’すべてを制限’などが選べますが、その中に自分達にふさわしいものがない場合は自分でポリシーを作成する必要があります。
Windows2008R2からadmxになっていますが、admで作成し、それをインポートするのが手間がかからないと思います。2012は未確認です。どうなってるんでしょうね。
例:E、Fドライブだけ有効にしたい場合、下記のテキストファイルを.admで作成すれば、
グループポリシーエディターでインポートできます。
—ここから—
#if version <= 2
#endif
CLASS USER
CATEGORY !!WindowsComponentsAdd
CATEGORY !!WindowsExplorerAdd
POLICY !!NoDrives
KEYNAME “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”
EXPLAIN !!NoDrivers_Help
PART “次の組み合わせの中から 1 つ選んでください” DROPDOWNLIST NOSORT REQUIRED
VALUENAME “NoDrives”
ITEMLIST
NAME “A、B、C、および D ドライブのみを制限する” VALUE NUMERIC 15
NAME “すべてのドライブを制限する” VALUE NUMERIC 67108863
;low 26 bits on (1 bit per drive)
NAME “ドライブを制限しない” VALUE NUMERIC 0
NAME “E、Fのみドライブを制限しない” VALUE NUMERIC 67108815
END ITEMLIST
END PART
END POLICY
END CATEGORY ;; WindowsExplorerAdd
END CATEGORY ;; WindowsComponentsAdd
[strings]
WindowsComponentsAdd=”Windows コンポーネント追加”
WindowsExplorerAdd=”ExplorerAdd”
NoDrives=”(add)指定したドライブを [マイ コンピューター] 内で非表示にする”
NoDrivers_Help=”追加分です 通常の管理テンプレートの方は未構成にしてください”
—ここまで—
有効にするドライブは、VALUE NUMERIC で指定しますが、詳しくはMicrosoftのtechページ等で確認できます。
http://support.microsoft.com/kb/231289/ja
もちろん、ドライブ自体が無くなるわけではないので、普通にプログラム等は参照しています。
あくまで、UIから消えてしまうだけです。
おやくに立てたかしら?
・何が大事か?
・なにが弱いか?
・だからどうしたらいいのか?
これらを調べることを情報セキュリティ上でのリスクアセスメントと呼んでいます。
リスクアセスメントをすることで、お金や時間を効果的に使うことができます。
では、今回の本題、 リスクアセスメントとして何をやったらいいのか?
基本的には情報の洗い出しなのですが、一般的なものは、情報の一覧表を作って、
その情報個々に対策を考えていくものだと思います。
でも、この方法はスタートアップ時や変更を許容するような事業では非常に面倒です。
その場合にはプロセス型のリスクアセスメントを利用してはいかがでしょうか?
利点として、
・比較的短時間で作れる。
・各業務プロセス内での重要度やリスクが洗い出しやすい。
・リスクと対策を実際の業務としてとらえやすい。
・変更が有った場合の関連がわかりやすい。
デメリットとして、
・業務プロセスが多いと、情報が分散されてしまう。
・成熟度が業務に引きづられる
といったところでしょうか。
中小組織には良い方法だと思います。
一度検討してみてはいかがでしょうか。